A finales de 2017 la firma financiera estadounidense Equifax sufrió el mayor ciberrobo de datos personales de la historia y, probablemente el más importante hasta ahora en lo que se refiera al tipo de información sustraída. Sin embargo, para llevar a cabo el ciberataque no se utilizó ningún tipo de malware. Los hackers, simplemente, consiguieron descifrar la contraseña de uno de los altos directivos de la compañía. A partir de ahí, el grupo organizado de hackers robó los datos personales de más de 140 millones de estadounidenses, lo que equivale casi a 3 veces la población de España.
Este robo, fue posible porque las claves de acceso de este directivo no cumplían los requisitos mínimos de seguridad como combinar mayúsculas, minúsculas, números y símbolos especiales en palabras fáciles de adivinar como el nombre de la calle en la que vive o el de su pareja.
Pero, el caso de Equifax no es un hecho aislado. Cada año se producen miles de vulneraciones de ciberseguridad en empresas de todo el mundo. Para hacernos una idea de la magnitud de estos ciberataques, sólo en Estados Unidos, las pérdidas económicas derivadas del cibercrimen aumentaron un 24% en 2016, superando los 1.300 millones de dólares.
Sin embargo, esta cifra podría ser mucho mayor, ya que hay que tener en cuenta que no todas las empresas que son víctimas de ciberataques lo cuentan a la Policía. El impacto de reconocer una vulneración como la que sufrió Equifax puede suponer pérdidas millonarias en valoración bursátil, cobrarse “la cabeza” de más de un directivo o incluso una crisis reputacional que provoque el cierre de una compañía.
Según se desprende del último Informe Anual PandaLabs el 1,14% de todos los equipos digitales que hay en España sufrió un ciberataque durante el año pasado. Este dato incluye tanto a ordenadores personales, equipos profesionales, pero también a teléfonos móviles, tablets y dispositivos wearables como los smartwatches.
Por tanto, y si tenemos en cuenta que en España hay más de 13 millones de viviendas con al menos un ordenador conectado a Internet, que cada año se venden más de tres millones de ordenadores personales (para uso doméstico o laboral) y que el 96% de la población tiene un teléfono móvil, podríamos intuir que son cientos de miles los equipos que se ven comprometidos cada año.
Aunque resulte evidente, conviene recordar quienes dedican más recursos a la ciberseguridad, reciben menos ataques. Mientras que los usuarios domésticos y pequeñas empresas sufrieron un 4,41% de ataques, en las medianas y grandes corporaciones la cifra bajó hasta el 2,41% según el último informe de PandaLabs. Sin embargo, aunque este porcentaje pueda parecer bajo respecto a los cientos de miles de ataques que se registran cada año, hay que tener en cuenta que los cibercriminales no necesitan atacar todos los ordenadores de una red corporativa. Con vulnerar la seguridad de uno de ellos, los hackers pueden crear verdaderos problemas a sus víctimas, como hemos visto en el caso de Equifax.
Tener una actitud ejemplar
Por todo ello, los ejecutivos de las empresas deben actuar de forma ejemplar en sus compañías en lo que se refiere a la ciberseguridad, ya que es bastante habitual escuchar de la boca de directivos de grandes y pequeñas empresas frases como ‘llevo utilizando la misma contraseña desde hace más de 20 años y no voy a cambiarla ahora’.
Sin embargo, y como primer punto de esta ejemplaridad de ciberseguridad corporativa, hay que deshacerse de todas las contraseñas fáciles de adivinar e incorporar métodos de autenticación multifactor. Es decir, aquellos en los que se necesita un teléfono móvil o una verificación desde el email para dar acceso a cierto tipo de ficheros.
Sólo usar las aplicaciones que recomienda el departamento de IT
Por otra parte, un estudio de Code42 afirma que el 75 por ciento de los CEO y más de la mitad de otros altos ejecutivos de empresas estadounidenses admitieron haber usado aplicaciones que no están aprobadas por su departamento de TI.
Incluso la información desactualizada es importante
Los directivos de las compañías deben ser conscientes de que todos y cada uno de los datos que manejan tienen un gran valor para los hackers, incluso aquella información que sea antigua o esté desactualizada. Nadie nos puede asegurar que dentro de cinco o diez años la información sobre un cliente, por desactualizada que esté, no vaya a servirle a un cibercriminal para recabar la información necesaria para estafar a otra persona o para acceder a un servidor corporativo.
Recordar continuamente el precio de la inseguridad
Por desgracia, todavía hay muchos directivos de compañías que son reacios a realizar inversiones en ciberseguridad. Generalmente se debe a que o bien consideran que la información que maneja su compañía no es interesante para los hackers, o bien porque prefieren ‘ahorrar’ ese coste hasta que no sea estrictamente necesario.
En el primero de los casos, sólo hay que recordarle a estos directivos que, sin ir más lejos, en el ordenador de alguna persona de la compañía se encuentran los números de cuentas corrientes corporativas. Si un hacker se adentra en la red y se conecta a ese ordenador y luego consigue vulnerar el de otra persona en el que guarde las contraseñas de esas cuentas corrientes, sólo tendrá que entrar en la web del banco y desvalijarla.
En el segundo de los supuestos, en el que los directivos prefieren esperar a que la ciberseguridad sea algo ‘estrictamente necesario’ conviene recordar que ese momento indicará que ya será demasiado tarde, porque su compañía ya habrá sido vulnerada.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
